Clicky

Usuarios de Google Ads son blanco de una estafa de publicidad maliciosa

estafa de Google Ads

Roba credenciales y códigos 2FA en falsas páginas de inicio de sesión

Investigadores de ciberseguridad han alertado sobre una nueva campaña de publicidad maliciosa que se dirige a personas y empresas que se anuncian a través de Google Ads e intentan obtener sus credenciales mediante anuncios fraudulentos en Google.

"El plan consiste en robar tantas cuentas de anunciantes como sea posible haciéndose pasar por Google Ads y redirigiendo a las víctimas a falsas páginas de inicio de sesión", dijo en un informe Jérôme Segura, director senior de inteligencia de amenazas de Malwarebytes.

Se sospecha que el objetivo final de la campaña es reutilizar las credenciales robadas para perpetuar aún más las campañas y también venderlas a otros actores criminales en foros clandestinos. Según publicaciones compartidas en Reddit, Bluesky y los propios foros de soporte de Google, la amenaza ha estado activa desde al menos mediados de noviembre de 2024.

El grupo de actividades es muy similar a las campañas que utilizan malware ladrón para robar datos relacionados con cuentas comerciales y publicitarias de Facebook con el fin de secuestrarlas y usar las cuentas para enviar campañas de publicidad maliciosa que propaguen aún más el malware.

La campaña recientemente identificada identifica específicamente a los usuarios que buscan anuncios de Google Ads en el propio motor de búsqueda de Google para mostrar anuncios falsos de Google Ads que, cuando se hace clic en ellos, redirigen a los usuarios a sitios fraudulentos alojados en Google Sites.

Estos sitios luego sirven como páginas de destino para llevar a los visitantes a sitios de phishing externos que están diseñados para capturar sus credenciales y códigos de autenticación de dos factores (2FA) a través de un WebSocket y exfiltrados a un servidor remoto bajo el control del atacante.

flujo de estafa de Google Ads

Imagen: Flujo de proceso para esta campaña de robo de Google Ads

"Los anuncios falsos de Google Ads proceden de una variedad de personas y empresas (incluido un aeropuerto regional) en varias ubicaciones", dijo Segura. "Algunas de esas cuentas ya tenían cientos de otros anuncios legítimos en funcionamiento".

Un aspecto ingenioso de la campaña es que aprovecha el hecho de que Google Ads no requiere que la URL final (la página web a la que llegan los usuarios cuando hacen clic en el anuncio) sea la misma que la URL visible, siempre que los dominios coincidan.

Esto permite a los actores de amenazas alojar sus páginas de destino intermedias en sites.google[.]com mientras mantienen las URL visibles como ads.google[.]com. Además, el modus operandi implica el uso de técnicas como la identificación de huellas digitales, la detección de tráfico anti-bot, un señuelo inspirado en CAPTCHA, encubrimiento y ofuscación para ocultar la infraestructura de phishing.

Malwarebytes afirmó que las credenciales obtenidas se utilizan posteriormente para iniciar sesión en la cuenta de Google Ads de la víctima, agregar un nuevo administrador y utilizar sus presupuestos de gastos para anuncios falsos de Google.

En otras palabras, los actores de amenazas se apoderan de las cuentas de Google Ads para promocionar sus propios anuncios con el fin de agregar nuevas víctimas a un grupo cada vez mayor de cuentas pirateadas que se utilizan para perpetuar aún más la estafa.

cuantas robadas de Google Ads

Imagen: Las víctimas cuentan que los atacantes gastan su propio presupuesto en anuncios falsos de Google

"Parece que hay varios individuos o grupos detrás de estas campañas", dijo Segura. "Cabe destacar que la mayoría de ellos hablan portugués y probablemente operan desde Brasil. La infraestructura de phishing se basa en dominios intermediarios con el dominio de nivel superior (TLD) .pt, indicativo de Portugal".

"Esta actividad publicitaria maliciosa no viola las normas publicitarias de Google. Los actores de amenazas pueden mostrar URL fraudulentas en sus anuncios, lo que hace que no se distingan de los sitios legítimos. Google aún no ha demostrado que tome medidas definitivas para congelar dichas cuentas hasta que se restablezca su seguridad".

Un portavoz de Google dijo en un comunicado: "Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo".

Google también dijo que está al tanto de estas campañas publicitarias maliciosas y que está trabajando continuamente para monitorear su red de anuncios en busca de abusos y tomar medidas de cumplimiento contra los anunciantes que publican anuncios que pretenden engañar a los usuarios ocultando o confundiendo información sobre su negocio, producto o servicio.

Además, afirmó que eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones de anuncios y suspendió más de 5,6 millones de cuentas de anunciantes en 2023. De estos, 206,5 millones de anuncios fueron bloqueados por violar su Política de tergiversación.

La revelación se produce cuando Trend Micro reveló que los atacantes están utilizando plataformas como YouTube y SoundCloud para distribuir enlaces a instaladores falsos de versiones pirateadas de software popular que en última instancia conducen a la implementación de varias familias de malware como Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader y Vidar Stealer.

"Los actores de amenazas a menudo utilizan servicios de alojamiento de archivos confiables como Mediafire y Mega.nz para ocultar el origen de su malware y dificultar su detección y eliminación", afirmó la compañía. "Muchas descargas maliciosas están protegidas con contraseña y codificadas, lo que complica el análisis en entornos de seguridad como los sandboxes y permite que el malware eluda la detección temprana".

Jesus_Caceres